GARANTE PRIVACY - Nota 17 febbraio 2017, n. 424 Lavoro: vietati i controlli indiscriminati su e-mail e smartphone aziendali - Telemarketing: no all'uso dei numeri di telefono "pescati" in rete - Consoli onorari e passaporto elettronico a prova di privacy Lavoro: vietati i controlli indiscriminati su e-mail e smartphone aziendali Il datore di lavoro non può accedere in maniera indiscriminata alla posta elettronica o ai dati personali contenuti negli smartphone in dotazione al personale. È un comportamento illecito. Lo ha ribadito il Garante della privacy vietando a una multinazionale l'ulteriore utilizzo dei dati personali trattati in violazione di legge. (doc. n.5958296) La società potrà solo conservarli per la tutela dei diritti in sede giudiziaria. Nel disporre il divieto l'Autorità ha affermato che il datore di lavoro, pur avendo la facoltà di verificare l'esatto adempimento della prestazione professionale ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, deve in ogni caso salvaguardarne la libertà e la dignità, attenendosi ai limiti previsti dalla normativa. La disciplina di settore in materia di controlli a distanza, inoltre, non consente di effettuare attività idonee a realizzare, anche indirettamente, il controllo massivo, prolungato e indiscriminato dell'attività del lavoratore. I lavoratori, poi, devono essere sempre informati in modo chiaro e dettagliato sulle modalità di utilizzo degli strumenti aziendali ed eventuali verifiche. La vicenda nasce dal reclamo di un dipendente che si era rivolto al Garante lamentando un illegittimo trattamento effettuato da una multinazionale, che avrebbe acquisito informazioni anche private contenute nella e-mail e nel telefono aziendale, sia durante il rapporto professionale sia dopo il suo licenziamento. Dai riscontri effettuati dall'Autorità sono effettivamente emerse numerose irregolarità. La società, ad esempio, non aveva adeguatamente informato i lavoratori sulle modalità e finalità di utilizzo degli strumenti elettronici in dotazione, né su quelle relative al trattamento dei dati. Aveva poi configurato il sistema di posta elettronica in modo da conservare copia di tutta la corrispondenza per ben dieci anni, un tempo non proporzionato allo scopo della raccolta. Esisteva anche una procedura che consentiva alla società di accedere al contenuto dei messaggi che, in linea con la policy aziendale, potevano avere anche carattere privato. E' inoltre emerso che la società continuava a mantenere attive le caselle e-mail fino a sei mesi dopo la cessazione del contratto, senza però dare agli ex dipendenti la possibilità di consultarle o, comunque, senza informare i mittenti che le lettere non sarebbero state visionate dai legittimi destinatari ma da altri soggetti. Nel corso dell'istruttoria è stato accertato inoltre, che il titolare poteva accedere da remoto - non solo per attività di manutenzione - alle informazioni contenute negli smartphone in dotazione ai dipendenti (anche privatissime e non attinenti allo svolgimento dell'attività lavorativa), di copiarle o cancellarle, di comunicarle a terzi violando i principi di liceità, necessità, pertinenza e non eccedenza del trattamento. Il Garante ha disposto l'apertura di un autonomo procedimento per verificare l'applicazione di eventuali sanzioni amministrative. Telemarketing: no all'uso dei numeri di telefono "pescati" in rete No al telemarketing con i numeri di telefono "pescati" in internet e contattati senza il consenso informato dei destinatari. Il principio è stato ribadito dal Garante privacy che ha vietato a una società l'uso delle utenze telefoniche reperite on line a fini promozionali. (doc. n.5986406) Dagli accertamenti, svolti, dall'Autorità in collaborazione con il Nucleo speciale privacy della Guardia di finanza, è emerso che la società, attiva nell'offerta di servizi in Internet (costruzione e gestione di siti web, posizionamento nei motori di ricerca, vendita di spazi pubblicitari e attività di social media marketing), per acquisire nuovi clienti e promuovere i propri prodotti contattava telefonicamente le utenze reperite in rete, in genere numeri di telefono di liberi professionisti e imprese individuali presenti nell'area "contatti" dei siti. Un trattamento non in linea con la disciplina di protezione dei dati personali perché effettuato senza aver prima acquisito il consenso informato dei destinatari e in violazione del principio di finalità. La circostanza, infatti, che i numeri di telefono presenti in Internet siano liberamente conoscibili da chiunque, non significa che possano essere legittimamente usati per finalità (come il marketing) diverse da quelle per cui sono stati pubblicati on line. Il Garante inoltre, ha vietato alla società l'uso dei dati per finalità promozionali, in particolare tramite l'invio automatizzato di e-mail, di quanti richiedevano i preventivi sui servizi resi grazie a un form disponibile sul sito. Nel modello, che ora la società dovrà modificare, il potenziale cliente poteva selezionare solo un'unica casella sia per finalità contrattuali sia per il trattamento di dati per fini pubblicitari, ricerche di mercato e sondaggi via mail. Pur prendendo atto della dichiarazione della società di non aver svolto attività promozionali, il Garante ha ritenuto illecita la raccolta effettuata mediante il form. Tra i clienti che non hanno potuto manifestare il libero e specifico consenso per l'invio di comunicazioni automatizzate promozionali, oltre a imprese individuali e liberi professionisti, vi erano anche numerose persone giuridiche, che in base all'art. 130 del Codice, continuano ad essere tutelate riguardo alle comunicazioni promozionali automatizzate (email, telefonate, sms). L'Autorità si è riservata di valutare l'applicazione delle sanzioni amministrative previste dal Codice per le violazioni rilevate. Consoli onorari e passaporto elettronico a prova di privacy Via libera del Garante privacy all'introduzione di alcune modifiche nella procedura di emissione del passaporto elettronico per i residenti all'estero. Le integrazioni proposte intendono semplificare e rendere più sicuri i processi di acquisizione e trasmissione dei dati da parte dei consoli onorari abilitati. Il parere dell'Autorità (doc. n. 5953053) è stato reso al Ministero degli affari esteri (MAE) su un testo che aggiorna il provvedimento che fissa le regole tecniche del processo di emissione del passaporto elettronico, sul quale il Garante si era già espresso nel 2012. L'attuale procedura, per minimizzare i disagi dei residenti in località lontane o poco collegate con la sede consolare di prima categoria, consente l'acquisizione dei dati, inclusi quelli biometrici - immagine del volto ed impronte digitali- utilizzando postazioni mobili in dotazione ai consoli onorari dislocati sul territorio e ai funzionari consolari itineranti. I dati così acquisiti vengono poi scaricati presso la sede consolare competente per l'emissione del documento. La novità, proposta dal MAE e approvata dal Garante con precise indicazioni e suggerimenti a tutela dei dati personali trattati, prevede invece che i consoli onorari, ma non i funzionari itineranti, che continueranno a seguire la procedura in vigore, trasferiscano direttamente e in via telematica la documentazione acquisita al MAE anziché alla sede consolare competente, che a sua volta riceverà le informazioni necessarie al rilascio del passaporto dal Ministero. Questo consentirà di evitare il trasporto fisico delle postazioni mobili con minori costi e di ampliare il numero dei Consoli onorari disponibili per la raccolta dei dati sul territorio. I dati saranno cancellati dalla postazione mobile all'atto della trasmissione al Ministero, che avverrà in modalità sicura attraverso misure rafforzate, tra cui, una procedura di autenticazione forte e l'adozione di tecniche di cifratura dei dati personali sui dispositivi mobili.